أخبار التقنية

تم اكتشاف ثغرة أمنية في رفض الخدمة في المكتبات التي يستخدمها GitHub وغيرها


تحقق من جميع الجلسات عند الطلب من قمة الأمن الذكي هنا.


على عكس الاختراقات التي تستهدف البيانات الحساسة أو هجمات برامج الفدية ، فإن عمليات استغلال رفض الخدمة (DoS) تهدف إلى تعطيل الخدمات وجعلها غير قابلة للوصول تمامًا.

حدثت العديد من هذه الهجمات في الذاكرة الحديثة ؛ في حزيران (يونيو) الماضي ، على سبيل المثال ، منعت Google ما كان في تلك المرحلة أكبر هجوم تم رفض الخدمة الموزع (DDoS) في التاريخ. ثم حطم أكامي هذا الرقم القياسي في سبتمبر عندما تم اكتشافه وتخفيفه من خلال هجوم في أوروبا.

في تطور حديث ، أعلنت شركة Legit Security اليوم عن اكتشافها لثغرة أمنية سهلة الاستغلال DoS في مكتبات تخفيض السعر المستخدمة من قبل GitHub و GitLab والتطبيقات الأخرى ، باستخدام خدمة تقديم تخفيض السعر الشائعة تسمى Commonmarker.

قال Liav Caspi ، الشريك المؤسس والمدير التقني لمنصة أمان سلسلة التوريد للبرامج: “تخيل إزالة GitHub لبعض الوقت”. قد يكون هذا اضطرابًا عالميًا كبيرًا ويغلق معظم متاجر تطوير البرمجيات. من المحتمل أن يكون التأثير غير مسبوق “.

حدث

قمة أمنية ذكية عند الطلب

تعرف على الدور الحاسم للذكاء الاصطناعي وتعلم الآلة في الأمن السيبراني ودراسات الحالة الخاصة بالصناعة. شاهد الجلسات عند الطلب اليوم.

مشاهدة هنا

نشرت GitHub ، التي لم تستجب لطلبات التعليق من قبل VentureBeat ، إقرارًا رسميًا وإصلاحًا.

هدف رفض الخدمة: التعطيل

يقوم كل من DoS و DDoS بتحميل خادم أو تطبيق ويب بشكل زائد بهدف مقاطعة الخدمات.

كما يصفه موقع Fortinet ، تقوم DoS بذلك عن طريق إغراق الخادم بحركة المرور وجعل موقع ويب أو مورد غير متاح ؛ يستخدم DDoS أجهزة كمبيوتر أو آلات متعددة لإغراق الموارد المستهدفة.

وليس هناك شك في أنها آخذة في الارتفاع – بشكل حاد ، في الواقع. أشارت Cisco إلى نمو بنسبة 776٪ على أساس سنوي في الهجمات من 100 إلى 400 جيجابت في الثانية بين عامي 2018 و 2019. وتقدر الشركة أن العدد الإجمالي لهجمات DDoS سيتضاعف من 7.9 مليون في 2018 إلى 15.4 مليون هذا العام.

ولكن على الرغم من أن هجمات DDoS لا تهدف دائمًا إلى تسجيل بيانات حساسة أو مدفوعات فدية ضخمة ، إلا أنها مع ذلك مكلفة. وفقًا لأبحاث Gartner ، يبلغ متوسط ​​تكلفة تعطل تقنية المعلومات 5600 دولار في الدقيقة. اعتمادًا على حجم المؤسسة ، يمكن أن تتراوح تكلفة وقت التعطل من 140 ألف دولار إلى 5 ملايين دولار في الساعة.

ومع وجود العديد من التطبيقات التي تتضمن رمزًا مفتوح المصدر – نسبة هائلة تصل إلى 97٪ وفقًا لتقدير واحد – لا تتمتع المؤسسات برؤية كاملة لوضعها الأمني ​​والثغرات المحتملة ونقاط الضعف.

في الواقع ، المكتبات مفتوحة المصدر “موجودة في كل مكان” في تطوير البرمجيات الحديثة ، كما قال كاسبي – لذلك عندما تظهر نقاط الضعف ، قد يكون من الصعب جدًا تتبعها بسبب النسخ غير المنضبطة من الشفرة الأصلية الضعيفة. عندما تصبح مكتبة شائعة ومنتشرة على نطاق واسع ، من المحتمل أن تؤدي إحدى الثغرات الأمنية إلى هجوم على عدد لا يحصى من المشاريع.

قال كاسبي: “يمكن أن تشمل هذه الهجمات تعطيل خدمات الأعمال الهامة ، مثل شل سلسلة توريد البرمجيات والقدرة على إطلاق تطبيقات أعمال جديدة”.

كشف الضعف

كما أوضح Caspi ، يشير تخفيض السعر إلى إنشاء نص منسق باستخدام محرر نص عادي موجود بشكل شائع في أدوات وبيئات تطوير البرامج. تقوم مجموعة كبيرة من التطبيقات والمشاريع بتنفيذ مكتبات markdown الشهيرة مفتوحة المصدر ، مثل المتغير الشائع الموجود في تطبيق GitHub المسمى GitHub Flavored Markdown (GFM).

تم العثور على نسخة من تطبيق GFM الضعيف في Commonmarker ، حزمة Ruby الشهيرة التي تنفذ دعم تخفيض السعر. (يحتوي هذا على أكثر من مليون مستودع تابع). وقد صاغ “MarkDownTime” ، وهذا يسمح للمهاجم بنشر هجوم DoS بسيط من شأنه إيقاف خدمات الأعمال الرقمية عن طريق تعطيل خطوط أنابيب تطوير التطبيقات ، كما قال Caspi.

وجد باحثو الأمن الشرعي أنه من السهل إثارة استنفاد غير محدود للموارد يؤدي إلى هجوم DoS. وأوضح أنه يمكن استهداف أي منتج يمكنه قراءة وعرض Markdown (ملفات * .md) ويستخدم مكتبة ضعيفة.

قال كاسبي: “في بعض الحالات ، يمكن للمهاجم استخدام هذه الثغرة الأمنية باستمرار لإبقاء الخدمة معطلة حتى يتم حظرها بالكامل”.

وأوضح أن فريق بحث Legit Security كان يبحث في نقاط الضعف في GitHub و GitLab كجزء من بحثها المستمر لأمان سلسلة توريد البرمجيات. لقد قاموا بالإفصاح عن مشكلة الأمان إلى المشرف المشترك ، وكذلك لكل من GitHub و GitLab.

قال كاسبي: “لقد قاموا جميعًا بإصلاح المشكلات ، ولكن تم نشر العديد من النسخ الأخرى من تطبيق تخفيض السعر وهي قيد الاستخدام”.

على هذا النحو ، “ينبغي استخدام تدابير الاحتراز والتخفيف.”

ضوابط قوية ، وضوح

لحماية أنفسهم من هذه الثغرة الأمنية ، يجب على المؤسسات الترقية إلى إصدار أكثر أمانًا من مكتبة التخفيضات وترقية أي منتج ضعيف مثل GitLab إلى الإصدار الأحدث ، كما نصح Caspi.

وبشكل عام ، عندما يتعلق الأمر بالحماية من هجمات سلسلة توريد البرامج ، يجب أن يكون لدى المؤسسات ضوابط أمان أفضل على مكتبات برامج الجهات الخارجية التي تستخدمها. تتضمن الحماية أيضًا فحصًا منتظمًا للثغرات الأمنية المعروفة ، ثم الترقية إلى إصدارات أكثر أمانًا.

أيضًا ، يجب مراعاة سمعة البرامج مفتوحة المصدر وشعبيتها – على وجه الخصوص ، تجنب البرامج غير الصيانة أو منخفضة السمعة. وقال Caspi ، ودائمًا ما حافظ على تحديث أنظمة SDLC مثل GitLab وتهيئتها بشكل آمن.

مهمة VentureBeat هو أن تكون ساحة المدينة الرقمية لصناع القرار التقنيين لاكتساب المعرفة حول تكنولوجيا المؤسسات التحويلية والمعاملات. اكتشف إحاطاتنا.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى